[发明专利]网页漏洞的检测方法、装置及系统

说明书

技术领域

本发明涉及漏洞检测领域，具体而言，涉及一种网页漏洞的检测方法、装置及系统。

背景技术

上传漏洞入侵是目前对网站入侵最广泛的方法，从2007年至今，上传漏洞已连续几年位于OWASP统计的十大Web安全漏洞前列。上传漏洞是一种比sql注入更具杀伤力的漏洞，它可以把ASP、JSP、CGI、PHP等格式的木马，上传至网站的目录内，通过访问该木马文件，控制网站。

具体地，当上传页面出现漏洞时，即是打通了黑客与服务器的通道，黑客可以上传一些恶意脚本至服务器上，从而可以直接导致服务器被入侵。

其中，OWASP为开放式Web应用程序安全项目，Web即为网页。sql结构化查询语言(StructuredQueryLanguage)；ASP是动态服务器页面(ActiveServerPage)的缩写；JSP是一种动态页面技术；PHP超文本预处理器(HypertextPreprocessor的缩写)是一种通用开源脚本语言；CGI为通用网关接口，是外部应用程序与Web服务器之间的接口标准。

目前对于上传漏洞的检测，还没有成熟有效的工具，一般都是手工去测试，手动检测的过程中使用不同的木马文件对做测试，并且需要人工一个一个文件的判断该入口是否存在漏洞。可以想象地，测试人员每发现一个可以上传文件的入口，点击链接，选择测试文件，然后上传该测试文件，并通过上传测试文件的信息判断该入口是否为存在上传漏洞的入口，每执行一个完整的操作，需要大量的时间。使用这种方法，在网站上包含的CGI较少的情况下，由人工操作来校验尚且勉强可以接受。但是要使用该种方法对公司大量的站点来进行上传漏洞检测，由于存在数以千万计的CGI，使用人工一个一个CGI检测的方法需要的时间太漫长，在如此漫长的时间里，可能网站都做了更新，这么速度慢的检测就失去了意义。

由上可知，现有技术中手工检测上传漏洞方法检测速度慢，并且大量的接口是否存在漏洞要靠人工判断，判断的准确率低。

针对上述检测上传漏洞速度慢的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种网页漏洞的检测方法、装置及系统，以至少解决检测上传漏洞速度慢的技术问题。

根据本发明实施例的一个方面，提供了一种网页漏洞的检测方法，该方法包括：客户端获取待检测网页中的文件上传入口，其中，文件上传入口用于在待检测网页上上传文件；客户端通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件，其中，漏洞检测文件为预设的用于入侵服务器的文件；客户端判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功；若客户端通过文件上传入口向服务器上传预设的漏洞检测文件成功，则检测出待检测网页上存在上传漏洞。

根据本发明实施例的另一方面，还提供了一种网页漏洞的检测装置，该检测装置包括：获取模块，用于获取待检测网页中的文件上传入口，其中，文件上传入口用于在待检测网页上上传文件；上传模块，用于通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件，其中，漏洞检测文件为预设的用于入侵服务器的文件；判断模块，用于判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功；检测模块，用于若通过文件上传入口向服务器上传预设的漏洞检测文件成功，则检测出待检测网页上存在上传漏洞。

根据本发明实施例的一个方面，提供了一种网页漏洞的检测系统，该系统包括：客户端，用于获取待检测网页中的文件上传入口，并通过文件上传入口向网页所在网站的服务器上传预设的漏洞检测文件，并在客户端通过文件上传入口向服务器上传预设的漏洞检测文件成功的情况下，检测出待检测网页上存在上传漏洞；服务器，与客户端连接，用于判断通过文件上传入口向服务器上传预设的漏洞检测文件是否成功；其中，文件上传入口用于在待检测网页上上传文件，漏洞检测文件为预设的用于入侵服务器的文件。

在本发明实施例中，客户端在获取待检测网页中的文件上传入口之后，通过文件上传入口自动向网页所在网站的服务器上传预设的漏洞检测文件，并根据预设的漏洞检测文件是否上传成功的上传结果自动检测出待检测网页上是否存在上传漏洞，客户端在获取到上传入口之后，直接将预设的漏洞检测文件上传，并根据服务器返回的上传结果检测出该入口是否存在上传漏洞，整个操作过程简单，可以快速地呈现给测试人员测试结果(是否存在上传漏洞)。而不是采用现有技术中人工上传文件，人工判断是否存在漏洞，解决了现有技术中检测上传漏洞速度慢的问题，实现了快速检测网页上的上传漏洞的效果。

附图说明